5G向けゼロトラスト: セキュアなデジタル変革の実現

This post is also available in: English (英語) 繁體中文 (繁体中国語)

クラウドへの移行と5Gの登場は、ビジネスの方法とライフスタイルにデジタル変革をもたらしています。その一方で、ゼロトラストはサイバー防御に対する考え方を変える機会を生み出しています。5G向けゼロトラストは、テクノロジプラットフォームとその使い方を最新化して再構築する好機となります。この新しい防御手法は、継続的な資産の保護にとどまりません。実践する内容と方法を変革する機会をもたらします。

古いセキュリティモデルが足枷になっていたことに気づくまで、デジタル変革を全面的に採用する組織の取り組みはほんの序章にすぎませんでした。以下の事実について考えてみてください。

• 5Gは組織を変革し、サイバー窃盗の新たな機会を招いています。
• アプリケーションとネットワークの機能をクラウドへ移行することで、新たな攻撃対象領域が生まれています。
• IoTデバイスの増加と従業員の分散により、モバイルエンドポイントの数が急増しています。
• 多段階式の高度なサイバー攻撃により、防御がいっそう困難になっています。
• 政府は、5Gネットワークを国家インフラの一部と見なしています。

その一方で、経験から得た習慣は役に立たなくなっています。長年にわたって、セキュリティ部門にはポイントソリューションを見つけるトレーニングが施されてきました。「最新の脅威」に直面したセキュリティ部門は、それに見合った「最新のベンダー」で対処しました。しかし、リソースの制約とサイバーセキュリティの失敗により、サイバー防御の新たな方法について検討せざるを得なくなりました。暗黙的な信頼の排除に重点を置いた、アクセス要求のたびに検証を必要とするゼロトラストは、新たな一歩を踏み出すものです。

ゼロトラストは、暗黙的な信頼を排除し、デジタル対話のすべての段階を常に検証することで組織を保護する、サイバーセキュリティの戦略的アプローチと定義できます。状況、ユーザー、ユーザーの場所、ユーザーがアクセスを試みるアプリケーションを問わず、5G向けゼロトラストは暗黙的な信頼を排除します。

ゼロトラストがネットワークセキュリティにもたらす効果は、機密データと重要なアプリケーションのセキュリティ保護に顕著に現れています。これは、ネットワークセグメンテーションの活用、水平展開の阻止、レイヤー7の脅威防御の提供、きめ細かいユーザーアクセス制御の簡素化によって実現します。従来のセキュリティモデルは、組織の境界内にあるものはすべて信頼できるという前提で機能するのに対し、ゼロ トラスト モデルでは信頼を脆弱性と見なします。

つまり、5G向けゼロトラストにより、企業や組織、サービスプロバイダは、ユーザー、アプリケーション、インフラストラクチャを保護する方法について再考する機会を得ます。それは、最新のクラウド、SDNベースの環境、オープンソースの5Gネットワークに適した拡張性と持続可能性に優れた方法です。ゼロ トラスト エンタープライズを実現すれば、ゼロトラストを実行可能な原則としてセキュリティを効果的に再構築し、デジタル変革に対応することができます。このように、高品質で広範な一連の機能を提供することで、パロアルトネットワークスは独自の地位を築いています。

5Gサービスプロバイダのゼロトラスト実装

セキュリティプラットフォームには優れた基盤が必要です。5Gネットワークの事業者は、シグナリング、データ、アプリケーションの各レイヤーにわたる、すべてのトラフィックを含む包括的で揺るぎないセキュリティ戦略を必要とします。

5Gセキュリティを実装し、ゼロトラストの原則を採用することで、サービスプロバイダはさまざまな戦術でセキュリティを高める機会も得ます。

• 最小特権: マイクロセグメンテーションを使用して、5Gネットワークの機能をより正確に保護します。
• きめ細かいセキュリティポリシー: 企業顧客は、データとアプリケーションへのアクセスをよりきめ細かく制御する、対象を絞ったポリシーを実装します。
• CNF (クラウド ネイティブ ネットワーク機能)ワークロードの保護: CI/CDライフサイクルを通じてCNFを保護します。
• 脅威の検出と防御: すべてのレイヤーでネットワーク機能間のあらゆるやりとりを監視します。
• 自動化と人工知能の適用: アノマリの特定を強化し、分散型サービス拒否(DDoS)攻撃を阻止します。
• アクセス要求によるセキュリティの適用: 攻撃対象領域全体の保護に重点を置く方策から転換します。

パロアルトネットワークスの5Gセキュリティのアプローチは、ネットワーク全体の完全な可視化とセキュリティの適用から始まります。インテリジェントなセキュリティは、シグナリングレイヤーとデータレイヤーの相関関係に基づいてユーザーとデバイスを特定することで推進されます。機械学習とクラウドに基づく脅威インテリジェンスは、脅威に対する迅速なレスポンスを可能にします。さらに、これらのセキュリティ機能は、分散クラウドのあらゆる場所に組み込む必要があります。その例として、コアデータセンター、ネットワークエッジ、マルチアクセス エッジ クラウド、モバイル エッジ クラウドなどが挙げられます。

クラウドのCNF (クラウド ネイティブ ネットワーク機能)ワークロードを保護するために、弊社はクラウドセキュリティ企業のTwistlockとBridgecrewを買収してPrisma Cloudに統合しました。これにより、ホスト、コンテナ、サーバーレスのシフトレフトとランタイム保護の機能が提供されます。Prisma Cloudには、IDベースのマイクロセグメンテーション機能も組み込まれています。これらの機能を適用すると、クラウドネイティブ5Gアーキテクチャのコンピューティングインフラストラクチャを保護することができます。さらに、5G向けCN-Seriesは、5Gのサービスレイヤーとアプリケーションレイヤーを保護します。

Kubernetes環境向けに構築された業界初の次世代ファイアウォール(NGFW)として、CN-Seriesファイアウォールは、詳細なコンテナコンテキストと5Gコンテキストを大規模に活用して5Gサービスレイヤーを保護します。そのため、お客様はクラウドネイティブ5Gスタックの包括的なセキュリティを確保できます。ソフトウェアの5Gファイアウォールは、プライベート/パブリック、事業者のコアネットワークやモバイル エッジ クラウドなど、あらゆるクラウドプラットフォームに導入できるため、汎用性に優れた分散型の5Gセキュリティフレームワークとなります。

ゼロトラストのセキュリティ原則をすべてのアクセス要求とトランザクションに組み込むことで、ユーザー、アプリケーション、インフラストラクチャは最高の能力を発揮し、5Gの企業と顧客は、デジタル変革の約束を安全かつ確実に実現できると弊社は信じています。

組織の5Gセキュリティへのゼロトラストの適用

何年にもわたって「クラス最高」のセキュリティツールを次から次へと積み重ね、ゼロトラストは戦略と調達を強化する組織が進むべき道を示しました。ゼロ トラスト アーキテクチャ(ZTA)を導入すると、デジタル変革の取り組みの円滑化と効率化が促進されます。そのため、組織は確信をもって資産を保護できるようになります。

• よりきめ細かい5Gセキュリティポリシーを実装し、ユーザーがアクセスできる対象を制御します。
• 保護された資産へのアクセスを必要とする、ユーザーとマシンをすべて網羅したIDを定義します。
• ユーザーとアプリケーションを伴うデータのトランザクション全体で脅威を検出して防御します。
• 攻撃対象領域全体の保護からアクセス要求時の保護へ移行します。

ゼロトラストで最も重視されるのは、本質的にセキュリティの改善をもたらす、コンテキストと持続的な検証の考え方です。

• 厳密なセキュリティチェック
• 簡素化された、一貫性のある低コストのセキュリティ体制

組織は、ゼロトラストがもたらす他の具体的なメリットをIoT (モノのインターネット)などの領域で見ることができます。IoTデバイスは一括して導入されるため、セキュリティが組み込まれることはほとんどなく、大きなリスクにさらされています。Unit 42の調査によると、すべてのIoTトラフィックの98%は暗号化されておらず、個人情報や機密データがネットワーク上にさらされています。さらに、IoTデバイスの57%は重大度が中または高の攻撃に脆弱であり、攻撃者にとって狙いやすい標的となっています。5Gのスピードも攻撃者に利用されることになります。

こうしたリスクは、「最小特権によるアクセスの最小化」アプローチを採用することで軽減されます。これは、各デバイスが1つのジョブ(防犯カメラ、MRI装置など)で必要とされる対象にのみアクセス可能にすることで実現します。

企業ネットワークでは、さらにきめ細かく制御できます。これを行うには、モバイルネットワーク内に次世代ファイアウォール(NGFW)を直接配備し、企業ネットワークの他のセグメントと同じレベルの管理と制御を5Gセグメントで実現します。これにより、企業のセキュリティポリシーが5Gネットワークに拡大します。NGFWは、ユーザーのデータトラフィックを含む、5Gサービスレイヤーの完全な可視化と制御を実現します。お客様は脅威防御、WildFire、その他のサブスクリプションを有効化し、ユーザーやデバイスの要件に基づいてポリシーを作成できます。

ゼロトラストは、セキュリティ成熟度モデルと同様に長い取り組みになります。お客様がこの取り組みの形態を定義するのを支援し、断片をつなぎ合わせて進捗状況を測定できるようにすることが弊社の仕事であると考えています。

パロアルトネットワークスは、ゼロ トラスト プロフェッショナル サービスを通じて、複数の業界にわたる世界中の多様なお客様と関わっています。お客様のニーズはさまざまです。

ゼロトラストの取り組みにまだ着手していなかったお客様には、詳細な変革計画を立案し、弊社の専門知識、アーキテクチャ計画、業界をリードするセキュリティソリューションの組み合わせを取り入れました。お客様がゼロトラストのプロジェクトやパイロットをすでに開始していた場合は、適切な段階で弊社も加わり、連携して活動することができました。こうしたお客様は皆、ユーザー、デバイス、アプリケーションをすべて検証し、コンテキストに応じたアクセス制御を実装して、脅威を継続的に監視するという共通の目標を掲げていました。

概して、(特に5G実装の最中には)ゼロトラストによる変革は負担が大きく、成し遂げるのは困難であると組織は考えがちです。パロアルトネットワークスは、ゼロトラストの取り組みの段階に応じてお客様を支援できる、ベンダーに依存しない設計サービスとプロフェッショナルサービスを立ち上げるために懸命に努めてきました。

サービスプロバイダの5Gセキュリティ、企業の5Gセキュリティ、ゼロトラストに対する弊社のアプローチについて詳細をご覧ください。説明を聞きたい場合は、こちらにお問い合わせください。